如何强制退出当前系统中已登录的用户？

强制退出除 root 用户以外的所有用户： `sudo who | awk '!/root/{ cmd="/sbin/pkill -KILL -u " $1; system(cmd)}'` ...阅读全文

Debian Stretch 安装配置 Jenkins

=shanghai,dc=op Manager Password PASS Display Name LDAP attribute uid Email Address LDAP attribute mail 保存配置，然后就可以用LDAP账号登陆了。 设置Jenkins为中文 忽略浏览器语言，强制使用中文。 首选在插件页，安装Locale plugin插件。安装好后，在系统设置 -> Locale，Default Language -> zh_CN，勾选Ignore browser preference and force this language to all users，忽略浏览器属性强制所有用户使用该语言。 修改时区。这种方式安装的 Jenkins 默认不是我国时区，可以通过更新运行参数调整...阅读全文

Linux 5.12开始支持USB 4“安全等级5” 可禁用PCIe隧道功能

为即将到来的 Linux 5.12 合并窗口预定的 USB4 / Thunderbolt 变更已经被排入 USB-next 树中。这是英特尔的开发人员为下一个内核合并窗口所做的Thunderbolt改变，作为其中的一部分，包括最新的USB4方面的改进。Linux 5.12的新安全选项之一是支持USB 4的安全级别5（SL5）。 通过这个新的安全级别，PCIe隧道将被禁用。这个禁用PCI Express隧道的更高安全级别通常是支持USB 4硬件的BIOS配置选项。这个 "nopcie "选项在只使用DisplayPort的 "dponly "模式下也会被强制执行。 Linux内核现在已经支持 Thunderbolt / USB 4 安全设置，特性包括要求用户批准授权新设备，自动隧道...阅读全文

如何重启 Kubernetes 中的 Pods

到 1，那么 Pod 也不得不重启， kubectl scale deployment {deployment} --replicas=0 -n {namespace}kubectl scale deployment {deployment} --replicas=1 -n {namespace} 第二种方式：使用 yaml 文件重启Pod 当我们有 Pod 的 yaml 文件是，可以直接使用 replace 命令，来强制替换 Pod 的API对象，从而实现重启的效果： kubectl replace --force -f youpod.yaml 如果你手头没有 yaml 文件，直接使用的 Pod 对象，我们可以稍微调整一下上面的命令，如下： kubectl get pod {podname...阅读全文

国内首个IPv6公共DNS发布：亦能解析IPv4

举措，减少递归过程，以最大程度实现快速应答。 安全性方面，IPv6公共DNS支持单IP解析限速、DNSSEC安全解析验证，通过安全限速可有效拦截恶意攻击等，既不会出现恶意跳转，也不会有强制性广告出现。 最后，即便是纯IPv6用户，也可以基于DNS64解析服务实现对纯IPv4网络资源的请求。...阅读全文

Rancher 2.3 发布：支持Windows容器 集成Istio

Istio的集成，极大简化了Istio的安装和配置，Rancher中现已内置支持： 用于流量和遥测可视化的Kiali仪表板用于追踪的Jaeger用于监控和可观察性的Prometheus和Grafana Rancher 2.3还正式支持了Kubernetes v1.15.x和Docker 19.03。 增强Kubernetes安全性 Rancher 2.3引入了“集群模板”功能，它可以让企业在整个基础架构中实施一致的集群配置，进而帮助企业降低安全风险。具体而言，通过使用集群模板： 运维人员可以在其所有集群部署中创建、保存并放心使用经过良好测试的Kubernetes配置。管理员可以启用配置强制实施，从而抑制配置漂移或不当的配置错误。如果创建更多的集群，这些配置不当可能会带来安全风险。...阅读全文

Debian 终于完全删除了 Python 2 相关的软件包

Debian 的 Bug 日志记录显示，目前 Debian 已经完全删除了与 Python 2 相关的软件包。2022 年 12 月 27 日，一名维护者发表邮件称要删除 Debian 中 “残留” 的 Python 2 相关软件包，但这需要强制执行：gnat-gps (Fix coming when GNAT 12 is complete: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1015974#10)python-defaults (earlier RM bug)​现在，这项工作已顺利完成，意味着 Debian 终于完全删除了 Python 2。许多开发者也感叹来之不易。Python 2 早在 2020 年就已正式结束支持，而...阅读全文

Kubernetes常用命令大全(持续更新)

kubectl rolling-update python-v1 python-v2 --image=image:v2 #### 更新资源名称并更新镜像 kubectl rolling-update python --image=image:v2 #### 更新 frontend pod 中的镜像 kubectl rolling-update python-v1 python-v2 --rollback #### 退出已存在的进行中的滚动更新 cat pod.json | kubectl replace -f - #### 基于 stdin 输入的 JSON 替换 pod 强制替换，删除后重新创建资源。会导致服务中断。 kubectl replace --force -f ./pod.json 为...阅读全文

使用 Go 语言的三个原因

阅读行为放在编写之上 。Go 通过工具和自定义来强制所有代码格式化成特定的样式。这消除了学习项目特定语言的方言时的困难，并有助于发现错误，因为它们 看上去 就是不正确。 由于专注于分析和机器辅助，Go 开发人员开始采用越来越多的工具来发现常见的编码错误，这种工具从来没有在 C 语言开发者中产生共鸣 – Go 开发人员 希望 工具帮助他们保持代码清洁。 并发性 十多年来，芯片设计师一直在警告 免费午餐将会结束 。从最低端的手机到最耗电的服务器，硬件的并行性以 更多、更慢、堆砌 cpu 内核 的形式出现，但只有 当 你的语言可以利用它们才有意义。因此，并发特性需要内置到我们编写的要在今天的硬件上运行的软件中。 通过提供一种基于协程的 轻量级并发模型 ，或者是 Go 中已知的 goroutines...阅读全文

Docker CE 19.03 正式发布 无需root权限

dangling 过滤器的支持 moby/moby#31551 docker/libnetwork#2230当服务被更新为 –Network-rm 时，负载平衡器沙箱被删除 docker/engine#213Windows：现在强制在 PortBinding 中指定的 nil IP 到 IPv4zero(0.0.0.0) docker/libnetwork#2376 此版本改进内容比较多，获取列表查看 发布日志。...阅读全文

PHP 7.4 有哪些新特性

在调用错误时抛出异常序列化PDO和PDOStatement 实例将会生成一个Exception而不是PDOException异常调用get_object_vars()打印ArrayObject 实例将会返回ArrayObject 自己的属性，而不是被包裹的数组或对象的值， 数组强制转换不受影响...阅读全文

Golang 之禅: 如何写优质代码

。 明确处理错误 健壮的程序其实是由处理故障案例的片段组成的，并且需要在故障出现之前处理好。冗余的if err != nil { return err }比出了故障再一个个去处理更有价值。panic 和 recover 也一样。 尽早 return，不要深陷 每次缩进时都会在程序员的堆栈中添加另一个先决条件，这会占用他们短期内存中的 7±2 个片段。避免需要深层缩进的控制流。与其深入嵌套，不如使用守卫子句将成功路径保持在左侧。 并发权留给调用者 让调用者选择是否要异步运行你的库或函数，不要强制他们使用异步。 在启动 goroutine 之前，要知道它什么时候会停止 goroutines 拥有资源、锁、变量与内存等，释放这些资源的可靠方法是停止 goroutine。 避免包级别的状态 要完成明确和...阅读全文

Kubernetes 1.7 发布，安全强化、StatefulSet 更新及可扩展特性

Kubernetes 1.7已经发布，该版本聚焦于安全、存储和扩展性等交付特性，其中包括Network Policy API、StatefulSets自动升级策略以及可扩展的API聚合层。Kubernetes的上一个发布版1.6版侧重于解决规模化和自动化上的问题，显然最新的1.7发布版力图为Kubernetes在企业组织中的进一步采用夯实基础。需注意的是，虽然1.7版的核心集群编排功能是以稳定版提供，但是其中给出的一些头条发布特性在文档中被标为Alpha版或Beta版。 新提供的安全特性包括：Network Policy API。该API当前已提升到稳定版，在实现为网络插件时，用户可以设置并强制使用规则，指定可相互通信的Pod（类似于在用的网络/云ACL）；节点授权器（Node...阅读全文

开源软件对于商业机构的6大好处

常是对产品供应商有利，而非客户。如果软件停止运行，或者如果供应商要求支付更多的费用，你甚至无法起诉供应商的不当行为。而像 GPL 一类的开源许可证就是为保护客户专门设计的，而不是供应商，它确保你按照自己的需求使用软件，而没有专制限制。 由于它们的广泛使用，GPL 及其衍生许可的含义被广泛理解。 例如，许可证允许你现有(开源或闭源)基础设施通过定义良好的 API 与其连接，对时间或用户数量没有限制，并且不会强制你打开配置或知识产权 财产(如公司标志)。但有一个问题就是，有一些开源内核混合了 GPL 和专有软件的条款，这违反了许可证规定，会将客户置于危险境地。 使用专有软件意味着你需要面对严苛的法规遵从性条款，还有承担高额罚款的风险。...阅读全文

为保护隐私而生 反取证操作系统：Kodachi

，并帮助你： 匿名使用互联网。所有与 Internet 的连接，都将被强制通过 VPN，然后通过 DNS 加密的 Tor 网络。在你使用的计算机上不会留下任何痕迹，除非你要求保留一些数据痕迹。使用先进的加密和隐私工具加密你的文件，电子邮件和即时消息。 Kodachi 是基于实体 Debian Linux 和 定制 XFCE ，这使得 Kodachi 系统非常的稳定、安全并且独特。 视频： 特点： 连接 VPN 连接 Tor 和 出口节点选择 DNScrypt 服务器运行环境 拥有 Truecrypt 加密 – keepass 密码管理系统- 安全云等 免费开源 随机 Mac 地址生成 RAM 关闭/重启 时清除 内置 Tor 浏览器 Pidgin 即时通讯 比特币 钱包 Litecoin 钱包...阅读全文

Kubernetes 1.7：安全加固、有状态应用更新等

Kubernetes API在运行时一起提供服务。其他重点改进的地方包括可伸缩的准入控制器（admission controller），可插拔的云提供者，和容器运行时接口（CRI）。 新特性 安全： 网络策略 API（Network Policy API）提升至稳定状态。网络策略通过一个网络插件实现，允许用户对管理哪些 Pod 可以彼此通信的规则进行设置和强制。 节点授权器（Node authorizer）和准入控制插件（admission control plugin）是新增用来限制kubelet基于节点对Secret、Pod和其对象的访问。 Secret的加密和其他etcd中的资源，现在可用并处于alpha状态。 Kubelet TLS 启动现在支持客户端和服务端证书轮换。 由 API 服务器存储的审计日...阅读全文

十个增加 Linux Shell 脚本趣味的小工具

: Temperature/speed normal Apr 20 00:12:20 vivek-desktop mysqld: Database Server failed 8. setterm 命令 这个命令可以设置中断的属性。下面的例子是强制屏幕全黑15分钟，并且60分钟后把显示器设为待机状态： setterm -blank 15 -powersave powerdown -powerdown 60 下面这段命令可以在中断显示加下划线的文字： setterm -underline on; echo "Add Your Important Message Here" setterm -underline off 或者你可以关闭光标： setterm -cursor off 9. smbclient：向 MS...阅读全文

使用 MongoDB 之前应该知道的 14 件事

本文作者从事数据库相关工作接近四十年，最近开始使用 MongoDB。在开始使用 MongoDB 之前，作者希望有些事情自己已经知道。根据一般经验，对于数据库是什么以及它们能干什么，人们会有先入为主的认识。为了给他人提供方便，本文列出了一些常见的错误。 本文要点 即使 MongoDB 没有强制要求，设计一个模式还是至关重要。 类似地，在设计模式及访问模式时设计好索引。 避免大对象，尤其是大数组。 谨慎对待 MongoDB 的设置，尤其是关乎安全和稳定性时。 MongoDB 没有查询优化器，因此，对于如何安排查询操作的顺序，你必须格外小心。 创建一个无需身份验证的 MongoDB 服务器 很遗憾，MongoDB 在安装时默认不启用身份验证。在只从本地访问的工作站上，这没什么不好。但是，由于...阅读全文

Docker 17.06 社区版发布

时一次的频次来安排证书轮换。有了Docker CE 17.06，添加了立即强制证书轮换的一次性操作： docker swarm ca --rotate Swarm Mode事件 docker events可以用来从Docker中获取实时的信息。在编写自动化和监控应用时很有用。但是直到Dcoker CE 17.06，都不支持swarm mode的事件。现在docker events将会返回服务、节点、网络和和secret的信息。 专用的数据路线 docker init中添加了新的--datapath-addr标签，可以把swarm mode的管理任务和应用传递的数据隔离开来。这能把集群从IO贪婪的应用中拯救出来。如你用这种方式初始化集群： docker swarm init...阅读全文

技术部门的 SEO 规范

遵守的SEO规范，开发网站或修改网站时，即使不与SEO部门协同，也至少不能违反SEO规范，以防产生灾难性的后果。以前为客户写过一些技术部门SEO规范，现在简单整理更新一下，分享给大家，希望对其它公司也有帮助。 技术部门SEO规范 本SEO规范适用于公司所有新建网站及对现有网站的更新、改版。本SEO规范不是建议，是强制性规定。编程、前端、运维等技术相关部门务必遵守。 对本SEO规范中的内容有疑义时，请与SEO部门沟通，不可自行解释有疑义部分。 域名及服务器相关 只解析公司因业务需要决定开通的子域名。未开通子域名一律不解析。不要使用泛解析（以通配符*代替子域名）。不能有两个或两个以上域名显示同样网站内容（无论以哪种方式实现，如解析至相同根目录、上传同样文件和数据库）。用于测试的子域名使用...阅读全文

下一代时间同步服务 Chrony 详解

:37:55 CST Universal time: Mon 2021-01-04 00:37:55 UTC RTC time: Mon 2021-01-04 00:37:56 Time zone: Asia/Shanghai (CST, +0800) System clock synchronized: yes NTP service: inactive RTC in local TZ: no 设置当前系统时区 如果你当前的时区不正确，请按照以下操作设置。 # 设置系统时区为 Asia/Shanghai $ timedatectl set-timezone Asia/Shanghai # 设置完时区后，在强制同步下系统时钟 $ chronyc -a makestep 修改当前日期时间 # 可以...阅读全文

谷歌公开了内部管理Infra层的两个工具的Paper

Annealing的插件，都是提供和任意基础架构集成的。Terraform的目标是更新生产状态去匹配用户提供的intent——这和Annealing一样。当然，它们也有一些主要的不同，比如： Annealing是为了持续执行而构建的。Annealing仅在安全的时候去应用更新过的配置，不需要人工交互。Annealing在应用变更后会监控服务健康情况。Terraform有统一的配置界面HCL。与之对比，Prodspec直接使用已有的配置资源。Prodspec强制密封性，允许生成配置数据，而无需访问其所描述的生产环境。配置数据可以跨版本进行比较，并由任何工具读取， 而不仅仅是驱动层。Prodspec是权威的，Annealing是为了能从生产中恢复状态而构建的。这避免了像Terraform这样需要一个状态文件，但...阅读全文

HTML 5.1 — 14 项新增特性及使用案例

="petrolimage.jpeg" alt="Petrol price drops">

This is the forth hike in petrol prices in two month and the third in case of diesel in one fortnight.